Эксперты RED Security SOC и CICADA8 обнаружили хакерскую группировку, ведущую целенаправленные атаки на промышленность
Эксперты RED Security SOC и CICADA8 сообщают о хакерской группировке, которая ведет целенаправленные атаки на российские предприятия сфер промышленности и машиностроения. Киберпреступники похищают учетные записи сотрудников предприятий, используя продвинутой фишинг. Данная группировка уже атаковала ряд крупнейших производственных организаций России. Об этом CNews сообщили представители RED Security.
На этапе подготовки атаки киберпреступники анализируют кадровые перестановки в компании. Они устанавливают, кто покинул компанию в недавнем времени, в каком подразделении он работал, а также находят адреса рабочей почты его коллег. На эти адреса злоумышленники направляют письма, в которых представляются HR-специалистами компании, куда якобы планирует устроиться уволившийся человек. В письме содержится просьба дать обратную связь о бывшем коллеге, для чего нужно перейти на веб-ресурс и ввести на нем логин и пароль от рабочей учетной записи, чтобы скачать форму обратной связи. Поскольку письмо содержит достоверные данные о человеке, ранее работавшем в компании, и рассылка ведется только в адрес людей, которые могли взаимодействовать с ним по рабочим вопросам, сообщение вызывает высокую степень доверия.
Ресурс, на котором сотрудник промышленного предприятия вводит логин и пароль, в режиме реального времени применяет эти данные для взлома ИТ-инфраструктуры. Если человек ввел неправильный пароль, ему автоматически выводится соответствующее сообщение. Такая механика не только повышает вероятность успеха киберпреступников, но и позволяет обойти любую техническую защиту учетных записей, включая двухфакторную аутентификацию. Кроме того, действующие таким образом хакеры могут моментально получить доступ в ИТ-инфраструктуру компании-жертвы и быстро развить атаку – например, с помощью вируса-шифровальщика – до того, как служба ИБ сможет принять меры реагирования.
«Целевой фишинг, таргетированный под конкретных получателей, встречается все чаще, особенно в финансовом секторе. Однако в данном случае мы также имеем дело с очень тщательной проработкой вредоносного ресурса, которая указывает на достаточно высокую квалификацию злоумышленников. Атаки с применением этого инструментария были зафиксированы исключительно в промышленном секторе, поэтому есть основания говорить о том, что мы имеем дело с политически мотивированной группировкой, имеющей цель по дестабилизации конкретной отрасли», – сказал Алексей Кузнецов, CEO CICADA8.
В 2024 г. в организациях промышленной сферы было зафиксировано свыше 40 тыс. инцидентов информационной безопасности. Это около трети об общего объема атак, отраженных специалистами RED Security SOC за год. Доля инцидентов высокой критичности в отрасли составила 18%. Почти половина (45%) всех атак на промышленность пришлась на выходные и праздничные дни или часы, которые традиционно являются нерабочими – с 19:00 до 09:00. При этом доля критических инцидентов в ночное время заметно возрастала: с 12% в рабочие часы компаний до 25% - в ночные. Также аналитики RED Security SOC отмечают, что трояны и черви, используемые для атак на промышленность, чаще, чем в других отраслях, имеют функциональность кражи учетных данных и шпионажа (38%) или шифрования данных (19%).
«Сфера промышленности и машиностроения с давних пор является целевым направлением для шпионажа и кражи данных прогосударственными APT-группировками, еще с относительно недавних пор участились атаки с целью нанесения деструктивного ущерба и нарушения работы компаний. В данном случае о конечной цели злоумышленников трудно судить однозначно, поскольку атаки были выявлены в отношении наших заказчиков, заблокированы на ранней стадии, а фишинговые домены, которые использовались в ходе атак на наших заказчиков, разделегированы. Однако злоумышленники могут продолжать создавать двойники таких ресурсов и использовать такие же или аналогичные схемы целевого фишинга. Поэтому мы рекомендуем всем организациям отрасли усилить меры защиты от фишинговых атак и повышать киберграмотность своих сотрудников», – сказал Ильназ Гатауллин, технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.